PPSK é: comparando recursos e modelos de implantação

Fale em inglês britânico com um tom confiante, autoritativo e conversacional - como um consultor sênior de redes instruindo um cliente em uma sala de reunião. Ritmo medido, dicção clara, caloroso, mas direto. Não é uma palestra, não é um discurso de vendas - é uma instrução especializada de igual para igual: Boas-vindas à série Purple Technical Briefing. Hoje estamos abordando PPSK - Private Pre-Shared Key - o que é, como se compara às suas outras opções de autenticação e, fundamentalmente, quando você deve realmente implantá-lo. [pausa curta] Deixe-me contextualizar a situação. Você é responsável pelo WiFi em um portfólio de propriedades. Pode ser um empreendimento residencial Build to Rent, um grupo hoteleiro, uma rede de varejo ou um campus de uso misto. Você tem centenas ou milhares de usuários, um número crescente de dispositivos IoT e precisa de isolamento de rede entre diferentes grupos de usuários - sem a sobrecarga operacional de uma implantação corporativa completa do 802.1X. Esse é exatamente o problema que o PPSK foi projetado para resolver. [pausa média] Então, o que é PPSK? O termo significa Private Pre-Shared Key. Você também ouvirá ser chamado de iPSK - Identity Pre-Shared Key - que é a terminologia da Cisco, ou ePSK da Cambium e Juniper Mist. A Aruba chama de PPSK. O conceito é idêntico, independentemente da marca do fabricante: cada usuário ou dispositivo recebe sua própria senha exclusiva de WiFi em um único SSID. Compare isso com o WPA2 Personal padrão, onde cada dispositivo na rede compartilha a mesma senha. Se essa senha vazar, todos ficam expostos. Se alguém se mudar do seu prédio, ou você altera a senha de todos ou aceita que essa pessoa ainda tenha acesso. Nenhuma das opções é aceitável em escala. O PPSK elimina esse problema. Cada residente, cada membro, cada dispositivo recebe uma credencial exclusiva. Quando alguém sai, você revoga a chave dele. Ninguém mais é afetado. Os dispositivos dele param de se conectar. Pronto. [pausa curta] Agora, a pergunta natural é - por que não usar simplesmente o 802.1X? É o padrão IEEE para controle de acesso à rede baseado em porta. Ele usa um servidor RADIUS para autenticar cada usuário individualmente, suporta EAP-TLS com certificados digitais, integra-se com o Microsoft Entra ID, Okta, Google Workspace. É o padrão de ouro para redes corporativas de funcionários. A resposta é: o 802.1X é a escolha certa para dispositivos corporativos gerenciados onde você controla o endpoint. Não é a escolha certa para dispositivos IoT, para cenários de BYOD em edifícios residenciais ou para locais onde você precisa integrar centenas de residentes que não entendem de TI. Os dispositivos IoT - alto-falantes inteligentes, termostatos, painéis de controle de acesso, câmeras de CFTV - frequentemente não oferecem suporte a suplicantes 802.1X de forma alguma. O PPSK funciona com qualquer dispositivo que suporte WPA2 Personal, o que é essencialmente tudo. [pausa média] Deixe-me guiá-lo pela arquitetura técnica. Em uma implantação PPSK, você tem um único SSID transmitido em seus pontos de acesso. Quando um dispositivo se conecta, o ponto de acesso captura o endereço MAC e a chave pré-compartilhada que o dispositivo está usando. Ele envia essa informação para um servidor RADIUS - ou, em algumas implementações de fornecedores, para um banco de dados de chaves local no controlador. O servidor associa a chave a um registro de usuário e retorna uma atribuição de VLAN e quaisquer atributos de política adicionais. Essa atribuição de VLAN é a peça fundamental. Isso significa que cada morador ou usuário é colocado automaticamente em seu próprio segmento de rede isolado. Os dispositivos do Morador A vão para a VLAN 10. Os dispositivos do Morador B vão para a VLAN 20. Eles compartilham os mesmos pontos de acesso físicos, a mesma infraestrutura de uplink, mas são completamente invisíveis uns aos outros na camada dois. O Morador A não consegue ver o Chromecast do Morador B, sua smart TV ou seu laptop. O isolamento é imposto pela rede, e não pela esperança de que os usuários se comportem. [short pause] Isso é o que a Purple chama de modelo de bolha de WiFi. Cada morador tem sua própria bolha privada. Os dispositivos na mesma chave se descobrem - de modo que o Chromecast funciona, o emparelhamento de casa inteligente funciona e os consoles de jogos obtêm o tipo de NAT de que precisam. Dispositivos em chaves diferentes são invisíveis uns aos outros. Funciona exatamente como uma conexão de banda larga residencial, mas roda em uma infraestrutura compartilhada por todo o edifício. [medium pause] Agora, deixe-me apresentar dois cenários de implantação do mundo real. Primeiro: um empreendimento Build to Rent de 250 unidades. A operadora precisa de WiFi no primeiro dia de mudança, suporte completo de IoT para dispositivos de casa inteligente e a capacidade de revogar o acesso instantaneamente quando o aluguel termina - sem afetar nenhum outro morador. O WiFi de convidados padrão falha aqui porque isola cada dispositivo de todos os outros dispositivos, o que impede o funcionamento do Chromecast e de alto-falantes inteligentes. O PSK padrão falha porque alternar a senha do edifício na saída do morador é operacionalmente impossível em escala. O 802.1X falha porque os moradores trazem seus próprios dispositivos IoT que não o suportam. O PPSK em pontos de acesso Cisco Meraki, HPE Aruba ou Ruckus, apoiado por um servidor RADIUS em nuvem, resolve todos os três problemas. Cada morador recebe uma chave exclusiva ao se mudar. Seus dispositivos - telefone, laptop, smart TV, Alexa, termostato - usam a mesma chave e vão para a mesma VLAN. Eles se descobrem. Quando o aluguel termina, a chave é revogada no portal de gerenciamento. Os dispositivos daquele morador param de se conectar em segundos. Ninguém mais percebe. Os benchmarks da British Property Federation sugerem que o WiFi gerenciado como comodidade garante um prêmio de aluguel de quinze a trinta libras por unidade por mês no setor BTR. Em um edifício de 250 unidades, isso representa entre três mil setecentos e cinquenta e sete mil quinhentas libras por mês em receita adicional. O custo da infraestrutura é uma sobreposição de software nos pontos de acesso que você já possui. [short pause] Segundo cenário: um hotel de 180 quartos. A propriedade precisa atender os hóspedes em uma rede WiFi simples e acessível, os funcionários em uma rede corporativa segregada e uma frota crescente de dispositivos IoT - fechaduras inteligentes, sensores de HVAC, sistemas de IPTV. Três grupos de usuários distintos, uma infraestrutura física. A arquitetura correta aqui são três SSIDs: um SSID de convidado usando WiFi aberto com um Captive Portal para captura de dados e aceitação de termos, um SSID de funcionários usando 802.1X com integração ao Active Directory para responsabilidade individual e revogação instantânea, e um SSID de IoT usando PPSK com chaves no nível do dispositivo e uma VLAN de gerenciamento dedicada com filtragem rigorosa de saída. O PPSK é a ferramenta certa para a camada de IoT porque esses dispositivos não podem executar o 802.1X, mas precisam de isolamento e revogabilidade individual. [medium pause] Deixe-me cobrir brevemente o cenário de fornecedores. O PPSK é suportado em todas as principais plataformas de pontos de acesso empresariais. No Cisco Meraki, ele é chamado de Personal Private Network e é configurado através do painel do Meraki com um banco de dados de chaves locais. Na HPE Aruba, é o PPSK e se integra ao Aruba ClearPass para gerenciamento de chaves baseado em RADIUS. Na Ruckus, é o Dynamic PSK, gerenciado através do SmartZone ou do controlador de nuvem. A Juniper Mist o chama de ePSK e se integra ao Mist AI para automação de políticas. A Ubiquiti UniFi suporta PPSK desde o firmware 3.x, com atribuição de VLAN por chave. Cambium, Extreme e Fortinet possuem implementações equivalentes. A principal diferença operacional entre as implementações é se as chaves são armazenadas localmente no controlador ou validadas em um servidor RADIUS externo. O armazenamento local é mais simples de implantar, mas limita a escala e a integração. O PPSK baseado em RADIUS escala para milhares de chaves e se integra à sua pilha de gerenciamento de identidade, mas adiciona complexidade à infraestrutura. Para implantações acima de cinquenta usuários, a opção baseada em RADIUS é a escolha certa. [short pause] Agora, as armadilhas. Três coisas dão errado com mais frequência em implantações de PPSK. Primeiro: configuração incorreta de tronco de VLAN. Você projeta um belo esquema de VLAN por residente e esquece de permitir essas VLANs em cada link de tronco no caminho do AP para o switch principal. O tráfego cai silenciosamente. Os residentes reclamam. Você passa dias rastreando isso. Documente suas configurações de tronco antes de começar e valide-as durante o comissionamento. Segundo: distribuição de chaves em escala. Gerar chaves exclusivas é fácil. Entregar essas chaves para as pessoas certas no momento certo - na mudança, através de um aplicativo de residente, através de um código QR no pacote de boas-vindas - é um processo operacional que precisa ser projetado antes do go-live, não depois. A plataforma da Purple lida com isso através de fluxos de trabalho de provisionamento automatizados que se integram ao seu sistema de gerenciamento de propriedades.Terceiro: Integração de dispositivos IoT. A maioria dos dispositivos domésticos inteligentes usa Bluetooth ou um ponto de acesso WiFi local temporário para a configuração inicial e, em seguida, precisa se conectar à rede principal do residente. Se a sua implementação de PPSK não suportar um fluxo de integração tranquilo para esses dispositivos, você receberá chamados de suporte. Teste seu processo de integração de IoT antes da mudança dos moradores. [medium pause] Certo, deixe-me fazer uma passagem rápida pelas perguntas que recebo com mais frequência. O PPSK pode substituir o 802.1X para redes de funcionários? Não. As redes de funcionários precisam de responsabilidade individual, integração com o Active Directory e autenticação baseada em certificados. Use 802.1X para funcionários. O PPSK funciona com WPA3? Sim. O WPA3 Personal com SAE oferece maior proteção contra ataques de dicionário offline na chave pré-compartilhada. Se os seus pontos de acesso suportarem WPA3, ative-o. Quantas chaves PPSK um único SSID pode suportar? A maioria dos controladores corporativos suporta milhares de chaves por SSID. O Cisco Meraki suporta até dez mil. O Aruba ClearPass escala para centenas de milhares. O número de chaves não é uma limitação prática para a maioria das implantações. O PPSK é compatível com PCI-DSS? O PPSK pode ser usado em redes que não são de pagamento. Os terminais de pagamento devem estar em uma VLAN dedicada, sem credenciais de autenticação compartilhadas - isso significa 802.1X ou separação física de rede para sistemas de PDV. [short pause] Para resumir: o PPSK é o modelo de autenticação correto quando você precisa de isolamento e revogabilidade por usuário, seus dispositivos incluem hardware IoT que não suporta 802.1X e você precisa manter a complexidade de implantação e operacional baixa. Ele fica entre o PSK padrão - que não oferece controle individual - e o 802.1X - que oferece segurança máxima, mas exige endpoints gerenciados e infraestrutura PKI. Para operadores de BTR, provedores de acomodação estudantil e grupos de hospitalidade que gerenciam propriedades com uso intenso de IoT, o PPSK é frequentemente o caminho mais prático para o isolamento de inquilinos em escala. A plataforma Multi-Tenant WiFi da Purple é implantada como uma sobreposição de nuvem em pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. Ela lida com o provisionamento de chaves, atribuição de VLAN, integração de residentes e análise de dados - sem exigir que você substitua seu hardware existente. Se você está planejando uma implantação e deseja explorar a arquitetura com mais detalhes, o guia completo está no link abaixo. Obrigado por ouvir.